Posted 22 апреля 2014,, 10:02
Published 22 апреля 2014,, 10:02
Modified 31 марта, 13:56
Updated 31 марта, 13:56
Небезопасные карты: кто в ответе?
В конце прошлой недели «Альфа-банк» рекомендовал своим клиентам перевыпустить банковские карты, если те расплачивались ими на сайте «РЖД» в период с 7 по 14 апреля. Причиной такой избирательности стало подозрение, что к личным данным пассажиров, которые совершали в эти дни операции на сайте железнодорожного монополиста, могли получить доступ хакеры. Все из-за обнаруженной 7 апреля уязвимости Heartbleed в пакете OpenSSL, который обеспечивает https-соединения между сервером и пользователем, сообщает The Village.
Поводом для паники послужило появление в Интернете сайта с говорящим названием sos-rzd.com, и, как сообщает издание, всего было скомпрометировано 200 тысяч карт. Анонимные создатели сайта предложили всем, кто совершал в эти дни покупки билетов, проверить, не оказались ли они в этом списке. Некоторые пользователи, как сообщает The Village, действительно находили себя в списке.
РЖД и занимающийся процессингом по этим операциям банк «ВТБ 24» ушли в глухую оборону. Почти сразу РЖД опровергло информацию о взломе и заверило клиентов, что гарантирует безопасность карт пассажиров. Представители «ВТБ 24» также утверждали, что сайт с предупреждением владельцам карт является мошенническим и утечки не было. По словам представителя банка Виталия Сухинина, на которого ссылаются «Ведомости», информация, размещенная на хакерском сайте, была проверена. Карты, которые находились в зоне риска, заблокировали либо на них был установлен специальный режим контроля за транзакциями в Интернете. Позже в беседе с корреспондентом «Коммерсанта» представитель РЖД рекомендовал не вводить номера своих карт на этом сайте.
Ситуация действительно странная, поскольку не повезло далеко не всем клиентам, которые совершали покупки билетов в эту неделю на сайте РЖД. В беседе с корреспондентом «Росбалта» начальник отдела по связям с общественностью крупного рейтингового агентства, пожелавший остаться неназванным, сообщил, что дважды приобретал билеты на поезд 9 апреля и, когда получил информацию о возможном взломе, тоже проверил свою карту. Ее в списке не оказалось. «Сайт левый какой-то, да еще и предлагают ввести номер карты, попахивает мошенничеством и фейком», - отметил он.
«Сервис по проверке на сайте sos-rzd действительно демонстрирует какие-то карты, однако не исключено, что они получены из каких-то иных источников или являются фейком», - отметил в беседе с «Росбалтом» аналитик FIBO Group Анатолий Воронин.
Данный инцидент очень похож на пример фишинга — получения данных о реальных людях путем заражения компьютеров вирусами через привлечение их на подозрительные сайты. Доверчивых людей или паникеров заставляют ввести какие-то критически важные данные на специальном сайте, а информация потом уходит «рыбакам», использующим их в своих интересах. Однако в данном случае странным является то, что от владельцев карт требовалось лишь указать их номер, но не критические данные (пароль или «волшебное» слово). Сообщений о том, что компьютеры обратившихся клиентов наводнили вирусы, тоже пока не было. Мало того, держателям этих карт рекомендовалось сразу же их заблокировать и перевыпустить. Все это заставляет поставить вопрос, который пока остается без ответа: какова же была цель неизвестных хакеров?
Напомним, что РЖД продает билеты на своем сайте rzd.ru, а процессингом пластиковых карт занимается «ВТБ 24». Для введения реквизитов пользователей переправляют на сайт банка. Уязвимость в криптографическом пакете OpenSSL, широко используемом для шифрования в системах ДБО, была обнаружена 7 апреля 2014 года. Она позволила хакерам взломать сайты электронной коммерции и платежных шлюзов ряда крупных российских и зарубежных поставщиков услуг, оплата которых совершалась банковскими картами клиентов различных эмитентов. Перехваченная злоумышленниками информация позволяет совершать покупки в интернет-магазинах, не поддерживающих технологию 3DSecure.
Вполне возможно, что среди прочих взломали и сайт РЖД, хотя это и отрицается официально. Но тот факт, что некоторые пользователи карт все-таки обнаружили себя в списках, наводит на не очень позитивные параллели. Да и «Альфа-банк» просто так «напрягать» своих клиентов не стал бы. Возможно, специалисты процессингового банка не смогли или не сумели обеспечить оперативную установку исправлений, в результате чего уязвимость была доступна для пользования какое-то время. И тот факт, что некоторые карты «не засветились» в списке, этому не противоречит, а может свидетельствовать либо об избирательности хакеров, либо о том, что до новых имен у них пока еще просто «не дошли руки». Подтвердить или опровергнуть такое предположение пока, разумеется, невозможно. По крайней мере, пока хакеры не сделают следующий ход и не выложат в общем доступе новый объем информации.
В приватных беседах эксперты не исключают, что в случае, если клиенты банков начнут выражать недовольство, в первую очередь пострадает РЖД, ведь сайт, с которого утекла информация, принадлежит именно этой монополии. Также клиенты могут захотеть «наказать» банк «ВТБ 24», занимавшийся процессингом, по статье о разглашении сведений, составляющих банковскую тайну.
Затронет скандал и банков-эмитентов пластиковых карт. Как пояснили эксперты, в случае оспаривания клиентами покупки, совершенной в интернет-магазинах по перехваченной злоумышленниками карте, потерянные деньги могут быть возмещены банком-эквайером. Но очевидно, что и банк-эмитент тоже понесет репутационные риски и затраты. С этого года вступили в силу новые правила возврата денег, незаконно списанных с карточного счета клиента. Держатель карты уже не должен доказывать, что он не виноват в списании средств, а докапываться до истины предстоит самому банку. Гражданин же должен в течение суток с момента получения информации о транзакции заявить о своем несогласии с ней.
«Для банков оптимальное решение вопроса — компенсировать все издержки, которые повлекла за собой утечка», - заявил «Росбалту» Михаил Крылов из United Traders. Он полагает, что иск надо подавать в адрес хакеров, от которых пострадали банки. «Если удастся доказать незаконное получение или разглашение банковской тайны, нарушителям может грозить штраф в 200 тысяч рублей, лишение права заниматься определенной деятельностью до 3 лет, принудительные работы или лишение свободы на срок до пяти лет. Если же вкладчики докажут тяжкие последствия, то и на срок до семи лет», - отметил он.